dec 7, 2019 | Adatbiztonsági cikkek, hírek
Ha az adatvédelem ennyire kritikus, mi állítja meg a vállalatokat abban az igyekezetükben, hogy teljesen és biztonságosan megszabaduljanak a nem szükséges adatoktól? Cikkünkben felsoroljuk azokat a leggyakoribb mítoszokat, melyek a szakszerű adatfertőtlenítést gátolják. Ezek a félreértések kis- és nagyvállalatoknál egyaránt megnehezítik a végleges adattörlési erőfeszítéseket. Ahhoz, hogy az előírásoknak megfelelő adatkezelési gyakorlatokat honosítsunk meg vállalatunknál, végleg le kel számolnunk ezekkel a megtévesztő mítoszokkal.
Előző cikkünkben három adattörlési módszer körüli mítoszt jártunk körbe: szó volt a sima adattörlés, a formázás és a fizikai megsemmisítés körüli téveszmékről. Ebben a bejegyzésben másik három adatmegsemmisítési módszer előnyeit és hátrányait tárgyaljuk: a demágnesezésről, a kriptográfiai törlésről és a DATA D által kedvelt adatfertőtlenítésről lesz szó.
Mítosz 4 – a demágnesezés minden adattárolási technológiánál működik
A demagnetizálásnak vagy demágnesezésnek megvan a maga jól bejáratott helye. Nagyon hatásos a sérült, életciklusuk végén lévő elektronikas eszközök esetében, ahol az adatokat mágneses alapon tárolják. Partnerünk, a Blancco-nak az Ontrack Eraser Degausser terméke a demágnesezés elvén működik. A demágnesezés gyenge pontja, hogy CSAK a mágnesesen tárolt adatok esetén hatékony. A népszerű SSD tárolók esetében teljesen hatástalan ez a technológia, hiszen az SSD félvezetőkön tárolja az információkat. Ugyanígy az optikai tároló eszközök esetében sem használható ez a módszer.
A mágneses elven adatokat tároló merevlemezek és mágnesszalagok esetében is van mire figyelni. A demágnesező erőnek eléggé erősnek kell lennie ahhoz, hogy fertőtlenítse a törlésre szánt eszközöket. Nem mindig talál össze a kettő, főleg, amikor az idősebb demágnesező találkozik az újabb merevlemezekkel.
Mítosz 5 – a kriptográfiai törlés megvédi az adatokat
A kriptográfiai törlés vagy kriptotörlés is egy kedvelt adatfertőtlenítési módszer. A kriptográfiai törlés lényege röviden, hogy beépített vagy külső szoftver segítségével titkosítjuk az adatokat, majd az adatok megfejtéséhez használt titkosító kulcsot kitöröljük. A titkosító algoritmusnak minimum 128 bites erősségűnek kell lennie. Az adat gyakorlatilag az eszközön marad, de a titkosítás miatt, illetve a titkosító kulcs törlése következtében az adatokhoz lehetetlen hozzáférni.
De, mint minden adatfertőtlenítési módszernek, ennek is megvan a hátulütője. A kriptotörlés ideális megoldás, amikor az adathordozó eszközök átutazóban vannak. Azonban a felhasználók befolyásolhatják a kriptográfiai törlés sikerét (vagyis sikertelenségét) emberi tévedéssel és rossz kulcsok használatával. Az is gond, hogy az adat mindvégig az eszközön marad, csak olvashatatlan.
Mítosz 6 – adatfertőtlenítés
Ebben az esetben csak a stilisztika kedvéért beszélünk mítoszról, mert a tanúsított adatfertőtlenítés az egyik legmegbízhatóbb és legalaposabb adattörlési módszer. A módszer alapja, hogy egy adott szabvány szerint egy szoftverrel 0-val és 1-essel többszörösen felülírjuk az adathordozón lévő adatokat. A felülírással az eredeti adat elvesz és semmilyen módszerrel nem állítható vissza. Ha egy merevlemezt teljes biztonsággal fertőtleníteni szeretnénk szoftveresen, akkor a következő lépéseket tartsuk be:
- Válasszuk ki az iparágunknak és vállalati igényeinknek megfelelő adatfertőtlenítési szabványt.
- Használjunk egy adatfertőtlenítő szoftvert adataink biztonságos törlésére, kövessük a szoftver utasításait.
- Az adatok törlése után a szoftver ellenőrzi, hogy az adatok felülírási módszertana sikeres volt-e vagy sem, és hogy valóban eltávolította az összes adatot a céleszközről
- A szoftver elkészít egy módosíthatatlan tanúsítványt, mely bizonyítja, hogy az adatok törlése sikeres volt a lemez minden szektorában, mellékelve az eszköz adatait és a használt szabvány információit.
Az adatfertőtlenítés az adatok szakszerű és tanúsított megsemmisítésének legmagasabb formája, a tanúsító folyamat biztosítja és garantálja azt, hogy az adatot sikeresen felülírták. Az adatfertőtlenítés környezetbarát, a fertőtlenített eszközöket újból fel lehet használni. Ennek a módszernek is van azonban hátránya: időigényesebb, mint a többi módszer. Ugyanakkor az adatfertőtlenítés arra kényszeríti a szervezeteket, hogy folyamatokat és szabályzatokat dolgozzanak ki az adattárolók menedzselésére.
dec 3, 2019 | Adatbiztonsági cikkek, hírek
Mi állítja meg a vállalatokat abban, hogy teljesen és tanúsítható módon megszabaduljanak a már nem használt adatokról? Gyakran az idejétmúlt és nem teljes adatvédelmi szabályzatok. Sokszor azért nem tesznek eleget ennek a kötelezettségüknek, mert teljesen félreértik, mit is jelent az adatfertőtlenítés (a fájlok lomtárba helyezése távolról sem tartozik ide). Esetenként viszont széleskörben elfogadott módszereket használnak – csak a rossz eszközökön. Bármi legyen is az oka, ezek a félreértések oda vezetnek, hogy vállalaton megnövekszik az adatszivárgással és általánosságban az adatokkal kapcsolatos biztonsági incidens kockázata.
Ha az adatvédelem ennyire kritikus, mi állítja meg a vállalatokat abban az igyekezetükben, hogy teljesen és biztonságosan megszabaduljanak a nem szükséges adatoktól? Cikkünkben felsoroljuk azokat a leggyakoribb mítoszokat, melyek a szakszerű adatfertőtlenítést gátolják. Ezek a félreértések kis- és nagyvállalatoknál egyaránt megnehezítik a végleges adattörlési erőfeszítéseket. Ahhoz, hogy az előírásoknak megfelelő adatkezelési gyakorlatokat honosítsunk meg vállalatunknál, végleg le kel számolnunk ezekkel a megtévesztő mítoszokkal.
Mítosz 1 – egy sima törlés minden problémát megold
Tényleg megtévesztő a törlés kifejezés, hiszen még a szakavatott IT technológiával foglalkozók is gyakran azt hiszik egy sima törléssel gond nélkül megszabadultunk az adatoktól. Miután a számítógép asztalán lévő virtuális szemetesben helyeztük a fájlokat, onnan még mindig egy kattintással visszaállíthatók. Sőt, akkor sem töröljük a fájlokat véglegesen, mikor kiürítjük virtuális szemetesünket. Megtévesztő a dolog ó, mert a Windows azt kérdi a kuka kiürítésekor, hogy „Biztos benne, hogy végleg törli ezt a fájlt? Azonban az operációs rendszer nem törli az az adatokat, csak a rájuk mutató bejegyzéseket, az érintett területet felhasználhatónak jelöli, és kész. Az adat ott marad és megfelelő szoftveres eszközök segítségével visszaállítható.
Mítosz 2 – a formázás mindent adatot eltűntet
Egy saját, Blancco felmérés szerint a válaszadók 51 százaléka azt gondolja, hogy az adathordozó gyorsformázása vagy teljes formázása elegendő ahhoz, hogy végleg töröljük az adatokat. A formázás valóban elég sok adatot eltüntet a lemezről. De adatfertőtlenítési módszerhez ez azonban nem elegendő, főleg nem a tanúsítást igénylő vállalati folyamatok esetében. Az adat helyreállítható online is elérhető eszközök segítségével.
Ami tovább zavarja a probléma megértését, hogy több OEM gyártó törlésként nevezi meg a formázást. Azonban ezeknek a módszereknek megvan a maguk korlátja, hiszen nem lehet kiválasztani egy adattörlési szabványt, nem lehet ellenőrizni, hogy a törlés sikeres volt és a törlésről tanúsítvány sem készülhet – mindez az adatfertőtlenítési irányelvek között kötelezően szerepel.
Mítosz 3 – a fizikai megsemmisítés minden adatot tönkretesz
Ez egy valóban trükkös megoldás, az ördög a részletekben rejlik. Az adathordozó fizikai megsemmisítése valóban hatásos és a DATA D által használt, tanúsított, az előírásoknak tökéletesen megfelelő adatfertőtlenítő megoldás. Sok esetben a nemzetbiztonsági szervek előírt adatmegsemmisítő módszere, kiforrott és bejáratott megoldások léteznek ezen a területen. Az adat fizikai megsemmisítési folyamatának minden lépését naplózzuk, részletes tanúsítványt bocsájtunk ki.
A meglévő berendezések teljesen alkalmasak a mágneses merevlemezek fizikai megsemmisítésére, de a kisebb, az adatokat sűrűbben tároló SSD-k esetében nagyon apró vágási méretet kell beállítani ahhoz, hogy valóban hatásos legyen a megsemmisítés. Az amerikai nemzetbiztonsági hivatal ajánlata szerint az SSD-k javasolt vágási mérete 2 milliméter. Ha a vágási szelet ennél nagyobb, akkor megnő annak a kockázata, hogy ép darabok jutnak át a szeletelőn, amelyekről az adat gond nélkül visszaállítható.
Ahogy korábban már erről írtunk, nagyon sok vállalat szükségtelenül és foggal-körömmel ragaszkodik az adathordozók fizikai megsemmisítéséhez. Holott az adatok szoftveres és tanúsított fertőtlenítése is elvégzi a feladatot, és ráadásul még környezetbarát módon. A fizikai megsemmisítés esetében olyan elektronikai hulladék keletkezik, melynek szakszerű megsemmisítéséről tovább gondoskodni kell.
Az adathordozók értéke fedezi a szakszerű adatfertőtlenítés költségét, így nagyon sok esetben az adott adatoktól és adathordozóktól megszabadulni kívánó szervezetnek egy fillérbe se kerül az adatfertőtlenítés. És ráadásul a környezetet sem terheljük vele, mert a felújított adathordozó vagy számítógép új életet kezdhet máshol.
nov 23, 2019 | Adatbiztonsági cikkek, hírek
Már korábban írtunk arról, hogy az adatok titkosítása nem helyettesíti az adatok szakszerű fertőtlenítését, a titkosítás csak megnehezíti, de nem teszi lehetetlenné az adatok teljes törlését. Nemrég egy olyan biztonsági hibára derült fény, melynek kihasználásával vissza lehet nyerni a TPM-ben tárolt titkosítási kulcsokat. A hiba milliárdnyi informatikai eszközt érint.
A legütősebb érv, amit az adatok szakszerű fertőtlenítése ellen gyakran felhoznak üzleti partnereink, az az, hogy az adatokat eleve titkosítva tárolja az adott adathordozón, így rajta kívül senki más sem tud hozzájutni az adatokhoz. Az esetek többségében valóban igaz, hogy a titkosítottan tárolt adatokból idegenek semmilyen hasznosítható információt sem tudnak kinyerni. A gyakrabban előforduló sérülékenységek miatt azonban az a biztos, ha az adatokat szakszerűen, jegyzőkönyvezve, tanúsítottan véglegesen töröljük.
Hiba csúszhat bele
A titkosítást emberek készítik, emiatt nagyon könnyen hiba csúszhat belé. Egy biztonsággal foglalkozó kutatócsoport nemrég fedezte fel a Trusted Platform Module harveres és szoftveres titkosítás hibáját. A TPM egy speciális biztonsági megoldás, hardver vagy szoftver alapú, melyet úgy találtak ki, hogy akkor is megvédje az érzékeny adatokat (tanúsítványokat, titkosítási kulcsokat), amikor egyébként az operációs rendszer a bűnözők befolyása alatt van. A TPM technológiát milliárdnyi számítógépben, laptopban, szerverben, okostelefonban, IoT eszközben megtalálható. Egy időzítés alapú támadás segítségével a TPM lapkában lévő adatok mindenki számára elérhetővé válnak. A hiba az STMicroelectronics gyártotta TPM lapkákat és a firmware alapú, Intel TPM titkosítást érinti.
Korábbi cikkünkben két ismert titkosítási sérülékenységről számolhattunk be. A Windows operációs rendszerekbe alapból beépített Bitlocker titkosítási eljárásról kiderült, hogy firmware-beli hiba miatt könnyen feltörhető kulcspárokat generált a rendszer. A problémát tovább fokozza, hogy nem könnyű ezt a hibás firmware-t frissíteni – már ha eszébe jut ez a rendszergazdának. A 2017-ben feltárt hibához vannak frissítések, ezen a linken lehet megnézni, hogy a különböző hardverekhez honnan, hogyan kell azt telepíteni.
Ide is csúszott egy hiba
A méltán népszerű Western Digital titkosítási eljárásába is hiba csúszott, ezen a linken olvashatják el az összes hibát. Egyet kiemelünk: a titkosításban a sózás technológia arra szolgál, hogy a gyenge jelszavakat lenyomatait megváltoztassák, úgy, hogy a hackerek ne ismerjék fel, ne tudják visszafejteni, Ehhez azonban változó vagy módosítható sóra van szükség, amit az eredeti gyenge jelszóhoz kevernek. A WD merevlemezei a sózáshoz három betűből álló, nem módosítható karaktert használnak: WDC.
nov 14, 2019 | Adatbiztonsági cikkek, hírek
Nem győzzük hangsúlyozni, hogy az a legszerencsésebb, ha a GDPR miatt egyébként is kötelező adatkezelési szabályzat foglalkozik azokkal a teendőkkel, melyekre az adat életciklusának végén kell sort kerítenünk. Az év eleje kiváló alkalmat biztosít arra, hogy ezeket az adatkezelési szabályzatokat felülvizsgáljuk, átnézzük – ahogyan azt előző írásunkban már említettük.
Legtöbb vállalatnál az IT biztonsági szabályzat a hálózati és a peremterület biztonsággal agresszíven foglalkozik, és keményen védi a vállalati folyamatok által létrehozott, tárolt, használt és megosztott adatokat. Ezek a szabályzatok azonban azzal nem foglalkoznak azzal, hogy az adatoknak az élete véges, és ebben a szakaszban is kezelni kell őket, archiváljunk vagy töröljünk. A fizikai megsemmisítésre váró adathordozókon maradt adatok könnyedén kerülhetnek illetéktelen kezekbe, biztos, hogy ezt a kockázatot szeretnénk vállalni?
Elavult technológiák hada
A szabályzatot már azért is érdemes felülvizsgálni, hogy lássuk, milyen adatmegsemmisítési gyakorlatot ír elő. A technológiák változásával a régi, jó, kipróbált és költséghatékonynak tűnő módszerekről kiderülhet, hogy elavultak, van helyettük sokkal jobb. Ilyen technológia például az adathordozó szakszerűtlen vagy szükségtelen fizikai megsemmisítése. Az adathordozó fizikai megsemmisítése még mindig egy szóba jöhető lehetőség, mikor a hardver és a rajta lévő adat is elérte életciklusának végét. A hardverek fejlődése miatt a szabályzat előírásai nem képesek minden lehetőséget lefedni.
Lemágnesezés – csak a mágnesen adathordozókon működik, mind a merevlemezeken, de mindig a megfelelő erősségű mágneses mezőt kell használni, ami az újabb merevlemezek esetében változhat. Az SSD-k esetében nem működik ez a megoldás.
Darálás – a fizikai megsemmisítés egészen hatásás adatmegsemmisítési eljárás, szinte az összes adathordozóval működik. Az adattárolásban azonban egyre kisebb és kisebb helyet foglalnak el az adatok, így, ha nem megfelelő apróságúra daráljuk le a merevlemezt, akkor adatrészletek a megmaradt nagy darabokból még minidig visszaállíthatók.
Mindkét módszernek a hátulütője, hogy szemetet generál, illetve elvesztődik az a lehetőség, hogy újrahasznosítsuk az eszközt minősített adattörlés után. Az adatfertőtlenítés nem generál többlet szemetet, az adott adathordozót újból lehet használni vagy el lehet adományozni, és még az adatokat is az előírások szerint kezeli.
A hatástalan adattörlési metódusok is az idejétmúlt gyakorlatok közé tartoznak. Az idejétmúlt adatkezelési szabályzatunk előírhatja például, hogy a z összes adathordozó manuális törlése és formázása a legjobb gyakorlat adatmegsemmisítés szempontjából. Ez messze nem igaz: a formázás és törlés után az adatok ingyenesen elérhető eszközökkel könnyedén visszaálílthatók. Nemcsak, hogy nem biztonságos, független tanúsítványt sem készül az adattörlésről, mellyel a hatóságok előtt igazolni lehet az adatok szakszerű törlését.
Felejtsük el a régi szabványokat
Nagyon sok adatkezelési szabályzat régi szabványokon alapuló adattörlési módszereket tesz kötelezővé a vállalaton belül. Iyen például a DoD szabvány, mely immár 25 éves és valamikor az amerikai védelmi minisztérium legszigorúbb előírásait tartalmazta a teljes és biztonságos adattörlésre. Az idő azonban eljárt felette, legutóbb 2006-ban frissítették, és így nem meglepő, hogy az SSD tárolókkal nem foglalkozik. Ehhez képest a 2014-ben frissített NIST SP 800-88 R1 (PDF) egy sokkal modernebb szabályrendszer, mely technológia semlegesen közelíti meg az adattörlés kérdését.
nov 3, 2019 | Adatbiztonsági cikkek, hírek
Reméljük, hogy mérettől függetlenül minden vállalatnak van már adatkezelési szabályzata, ha másért nem, az igen szigorú GDPR-nak való megfelelés miatt. Ez az adatkezelési szabályzat tartalmazza azokat a tennivalókat is, melyeket az adat életciklusának végén szokás életbe léptetni (ha esetleg mégsem, akkor most érdemes pótolni ezt a hiányosságot.)
Elavultak lehetnek adatmegsemmisítési gyakorlataink
Szánjunk egy kis időt adatmegsemmisítési gyakorlataink felülvizsgálatára, hiszen hamar kiderülhet, hogy már nem az aktuális folyamatokra, technológiákra bízzuk adataink megfelelő kezelését. Cikkünkben összeszedtünk pár érvet, hogy miért érdemes átvizsgálnunk adatkezelési szabályzatunkat, második cikkünkben pedig arról is írunk, mit érdemes átvizsgálni.
Technológiai változások
Adatgyűjtési szokásaink, adatfelhasználásunk folyamatosan változik: ha nem a vállalati folyamatok lesznek mások, akkor cserélődnek az adatgyűjtéshez használt hardver és szoftver. A változás szükségszerű, hiszen, ha régi módszereket használunk új eszközökhöz, akkor elhúzódó, időigényes, sérülékeny működés alakul ki.
Szabályozói akarat
Az Európai Unió adatvédelmi szabályzata (GDPR) 2018 májusától kezdte el büntetni azokat a vállalatokat, akik nem megfelelően védték az európai magánszemélyek személyes adatait. A GDPR számos európai adatokkal dolgozó vállalat életét átalakította, de ugyanakkor előkészítette az utat a rendelkezések világszerte történő elfogadásához. Noha az Amerikai Egyesült Államokban még nem fogadták el szövetségi szinten a GDPR-t, Kalifornia államban életbe lépett egy GDPR-ihlette adatvédelmi rendelkezés. a CCPA. Mindez azt mutatja, hogy a hatóságok világszerte azon vannak, hogy az adatok kezelését jogi korlátok közé szorítsák.
Az adat értéke változik
Az adatnak is van szavatossági ideje, egy idő után az elavult, régi, redundáns adat semmit sem ér, csak foglalja a helyet az adathordozón. Érdemes átgondolni, hogy a valaha komoly üzleti értékkel bíró adataink nem képviselnek értéket másoknak? Ha adatgyűjtési szabályzatunk megengedi (és ezt az adatok gazdáival is szabályszerűen tudattuk), akkor ezeket az adatokat másoknak eladhatjuk, miután számunkra már nem képvisel semmilyen értéket. Ha nem ezzel a céllal gyűjtöttük őket, érdemes az elavult, régi, lejárt szavatosságú adatokat úgy kezelni, ahogy megérdemlik: dokumentáltan, szakemberek segítségével töröljük őket. Azért is érdemes a régi adatoktól megszabadulni, mert a hackerek számára ezek is értéket képviselnek. Az IBM és Ponemon Intézet közös kutatása szerint az adatszivárgásokban elveszített adatok átlagos értéke 150 dollár (45 ezer forint) volt rekordonként.
Az adatgyűjtés sebessége és volumene növekszik
Az adatmenedzsment fontossága azután növekedett meg, hogy az adat egyre gyorsabban és egyre nagyobb mennyiségben növekszik. A vállalat szolgáltatásának bővülésével keletkezhet egyre több adat, ahogy az IoT eszközök szenzorjai is csak úgy ontják magukból az információkat, de egyre több a viselhető eszköz is, melyek az emberek egészségügyi jellemzőit rögzíti. Minél több adatunk van, melyet menedzselni és védeni kell, annál nagyobb a kockázata egy biztonsági incidensnek és annál nagyobb kár keletkezik egy esetleges adatszivárgás esetén. És arról nem is beszélve, hogy annál több információt kell valahol tárolnunk, ami azt jelenti, hogy újabb és újabb drága adattároló rendszereket kell beszereznünk. Az adatkezelési szabályzatunk szabhat gátat ennek, mely előírhatja, hogy pontosan meddig milyen adatokat, hogyan tároljunk, illetve életciklusuk végén hogyan semmisítsük meg azokat.
A hackerek egyre kíváncsibbak
A Risk Based Security adatai szerint 2019 első kilenc hónapjában 5183 adatszivárgásos incidenst regisztráltak, ami 7,9 milliárd adatrekordot jelent. Az előző év hasonló időszakához viszonyítva az adatincidensek száma 33,8 százalékkal bővült, míg a napvilágra került adatok mennyisége 112 százalékkal nőtt. A legelterjedtebb adatszerzési metódus a hackelés volt, a legtöbb adat webes forrásokból szivárgott ki. Iparág szerint az orvosi intézmények, kereskedők és közintézmények a legérintetettebbek.
Pongyola fogalmazás
Az jó, ha létezik vállalati adatszabályzat, de nem sokat érünk vele, ha széles körűen fogalmazunk, nem zárunk le minden kiskaput és nem jelöltjük ki pontosan a felelősöket. Főleg az adatmegsemmisítés témaköre az, melyet ezek a szabályzatok nem megfelelően tárgyalnak – holott a teljes adat életciklust le kellene fedni. Végső soron ki az adat tulajdonosa? Ki a hardver tulajdonosa és hol tároljuk az adathordozók teljes, szakszerű és tanúsított adattörlési jegyzőkönyveit? Ki a felelős, ha egy adatszivárgás következtében a régi adat nyilvánosságra kerül? A kérdésekre a válasz derüljön ki a szabályzatból.
